Управлять сетями

Создать сеть

  1. В html5-консоли перейдите в раздел Networking на вкладку Networks.

  2. Нажмите кнопку New (запустится мастер создания сети).

  3. На шаге Network Type выберите тип создаваемой сети Routed:

    • Isolated — сеть без возможности выхода в интернет (без подключения к локальному Edge);
    • Routed — сеть с возможностью выхода в интернет (подключается к локальному Edge, при правильной настройке Firewall и NAT (SNAT см. ниже) на Edge появляется выход в интернет).

  4. На шаге Edge Connection выберите нужный edge-маршрутизатор и тип интерфейса (Interface Type) Internal.

  5. На вкладке General заполните:

    • имя сети (Name), например, Test-Network;
    • шлюз (Gateway CIDR) в формате CIDR (Classless Inter-Domain Routing – формат, в котором указывается IP адрес и количество бит маски подсети), например: 10.10.1.1/24. Shared – разрешает использование данной сети в других виртуальных дата-центрах в рамках одной организации.

  6. На шаге Static IP pool введите диапазон адресов, которые в дальнейшем будут автоматически присваиваться вашим виртуальным машинам. Ввод должен осуществляться в формате xxx.xxx.xxx.xxx — yyy.yyy.yyy.yyy, где xxx.xxx.xxx.xxx — это начальный адрес подсети, а yyy.yyy.yyy.yyy — конечный IP-адрес подсети. Например, 192.168.10.2 — 192.168.10.22. Для ваших виртуальных машин будут выделяться адреса из указанного пула. Внизу будет указано количество доступных IP (total:20).

  7. На шаге DNS при необходимости задайте DNS для вашей сети, например 8.8.8.8. По умолчанию указывается адрес шлюза, но его необходимо отдельно настраивать.

  8. Завершите настройку, нажав кнопку Finish.

Посмотреть внешний IP-адрес виртуального дата-центра

  1. Перейдите в раздел Networking на вкладку Networks.
  2. Кликните на нужный edge правой кнопкой мыши.
  3. Выберите Configuration → Gateway Interface. В столбце Primary IP будет указан внешний IP-адрес, а в столбце External Network — имя внешней сети.

Настроить Edges

Для настройки шлюза:

  1. Перейдите в раздел Networking на вкладку Edge Gateways.
  2. Кликните на нужный edge.
  3. Нажмите кнопку Services. Откроется окно с возможностью настраивать Firewall, DHCP и правила NAT.

Настроить правила NAT

NAT (Network Address Translation) — технология преобразования приватных IP-адресов во внешние в IPv4, благодаря которой виртуальная машина получает доступ в интернет. В частной сети используются три блока приватных (серых) IP-адресов, которые не используются в интернете:

  • 10.0.0.0 --- 10.255.255.255/8 (16777216 хостов);
  • 172.16.0.0 --- 172.31.255.255/12 (1048576 хостов);
  • 192.168.0.0 --- 192.168.255.255/16 (65536 хостов).

Любая организация имеет право использовать частные IP-адреса (также называемые внутренними, внутрисетевыми, локальными или серыми) по своему усмотрению без регистрации у какой-либо организации.

Для выхода в интернет нужен белый IP, который будет “маскировать” 1 или несколько приватных IP-адресов. Механизм NAT осуществляет подмену (“маскировку”) серых адресов на белые и наоборот. Благодаря этому вся частная сеть может подключаться к интернету через один публичный IP-адрес (или пул адресов), предоставленный провайдером. Ресурс глобальных адресов расходуется гораздо экономнее.

Преобразования NAT имеет важную особенность с точки зрения обеспечения безопасности: трансляция частных IP-адресов в публичные из пула маршрутизатора позволяет скрыть топологию внутренней сети от внешних пользователей, то есть затрудняет несанкционированный доступ к ресурсам сети.

Настроить правила SNAT

С помощью правил SNAT настраивается доступ виртуальных машин в интернет.

Перед настройкой правил NAT обязательно уточните внешний IP-адрес виртуального дата-центра. Убедитесь, что Firewall включен (Enabled) и настроен (Настройка Firewall) — без этого механизм NAT не будет работать.

  1. Перейдите в раздел Networking на вкладку Edge Gateways.

  2. Нажмите на нужный edge.

  3. Нажмите кнопку Services.

  4. Перейдите на вкладку NAT.

  5. В правилах NAT есть два блока NAT44 Rules и NAT64 Rules. NAT44 означает использование ipv4, а NAT64 — ipv6. В настоящий момент поддержка IPv6 не реализована, и заполнять требуется только секцию NAT44.

  6. Нажмите кнопку + SNAT Rule.

  7. В открывшемся окне заполните поля:

    • в поле Applied on выберите внешнюю сеть;
    • в поле Original source IP/range укажите адрес для доступа в интернет определённой VM) или целую подсеть (для доступа всем VM в сети), например, 10.10.1.12 или 10.10.1.0/24;
    • в поле Translated source IP/range укажите внешний адрес, назначенный для вашего edge-роутера. Можно указать вручную или нажать кнопку SELECT и выбрать из списка для внешней сети;
    • Destination IP Address и Port — укажите any либо оставьте пустыми (по умолчанию проставляется any);
    • Description — можно добавить описание правила;
    • Enabled — включает данное правило;
    • Enabled logging — включает ведение журнала для данного правила (регистрирует трансляцию адресов).

  8. Нажмите кнопку Keep.

  9. Сохраните изменения, нажав кнопку Save changes.

Настроить правила DNAT

DNAT — механизм, изменяющий адрес назначения пакета, а также порт назначения. Используется для перенаправления входящих пакетов с внешнего адреса/порта на приватный IP-адрес/порт внутри частной сети. Правило DNAT настраивается, если нужно подключиться из интернета к ВМ по SSH, RDP или получить доступ к web-странице.

Для получения пакетов из интернета настройте правило DNAT:

  1. Перейдите в раздел Networking на вкладку Edge Gateways.

  2. Кликните на нужный edge.

  3. Нажмите кнопку Services.

  4. Перейдите на вкладку NAT.

  5. В правилах NAT есть два блока NAT44 Rules и NAT64 Rules. NAT44 означает использование ipv4, а NAT64 — ipv6. Рекомендуется заполнять блок NAT44.

  6. Нажмите кнопку + DNAT Rule.

  7. В появившемся окне заполните поля:

    • в поле Applied on выберите внешнюю сеть (как и в случае с SNAT, это не сеть уровня организации!);
    • в поле Original IP/range укажите внешний адрес, назначенный для вашего Edge-роутера. Можно указать вручную или нажать кнопку SELECT и выбрать из списка для внешней сети;
    • в поле Protocol — протокол;
    • в поле Translated IP/range укажите адрес из локального диапазона, например, 10.10.1.12 (при использовании подсети 0.10.1.0/24);
    • в поле Translated Port — порт во внутренней сети, в который будет выполняться NAT (для SSH и RDP лучше использовать порт, отличный от стандартного, например, 5222);
    • Source IP Address и Port оставьте пустыми;
    • Description — можно добавить описание правила;
    • Enabled — включает данное правило;
    • Enabled logging — включает ведение журнала для данного правила (регистрирует трансляцию адресов).

  8. Нажмите кнопку Keep.

  9. Сохраните изменения, нажав кнопку Save changes.